Die Datenschutzkonferenz (DSK) hat ein neues Papier veröffentlicht, das Webtracking nur noch unter engen Voraussetzungen ohne Einwilligung der Nutzer für zulässig erachtet. Droht jetzt ein Chaos der Cookie-Banner?D
Die aktuelle „Orientierungshilfe für Anbieter von Telemedien“, die sich hauptsächlich mit dem „Webtracking“ beschäftigt, wird bereits kurz nach ihrem Erscheinen heftig kritisiert und ruft Widerspruch in der Werbebranche hervor. Mit ihr könnte ein Chaos der Cookie-Banner drohen. Webseitenbetreibern ist zu empfehlen, ihre Datenschutzinformationen zu prüfen und gegebenenfalls zu aktualisieren.
Einwilligung als Regel für Tracking-Tools
Im Anschluss an die im Einzelnen komplizierten rechtlichen Erwägungen kommt die DSK zu dem Ergebnis, dass Webtracking nicht mehr wie noch vor Geltung der DSGVO grundsätzlich ohne Einwilligung erfolgen darf. Vielmehr sei eine substanzielle und nachweisbare Abwägung vor dem Einsatz von Webtracking-Tools erforderlich.
Die DSK hält die Nutzung von Analyse-Tools zur Reichweiten-Messung sozialer Netzwerke sowie externer Analysedienste, die Nutzungsdaten über die Website hinaus mit Daten von anderen Websites zusammenführen, für nicht erforderlich. Die Reichweitenmessung könne auch mit milderen, gleich geeigneten Mitteln erreicht werden, die weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln (z. B. ohne Einbindung Dritter über eine lokale Implementierung einer Analysesoftware). Folgt man der Ansicht der DSK dürften Facebook Pixel oder Google Ads (Remarketing) zukünftig wohl nicht mehr ohne Einwilligung eingesetzt werden.
IDs für Pseudonymisierung nicht ausreichend
In der Abwägung ob das Tracking ohne Einwillidung durchgeführt werden kann soll die Pseudonymisierung der Nutzer keine Rolle spielen. Die Pseudonymisierung ist eine Maßnahme die dazu führt dass die Daten ohne zusätzliche Informationen nicht mehr einer bestimmten Person, also etwa ihrem Namen oder ihrer E-Mailadresse, zugeordnet werden können. Häufig erfolgt die Pseudonymisierung durch die Zuordnung von Cookie-IDs oder Werbe-IDs. Eine Schutzwirkung dieser IDs bestehe aber nicht, denn diese würden dazu genutzt, die Nutzer unterscheidbar zu machen.
Tools, bei denen lediglich anonyme aggregierte Daten ausgewertet werden, dürften damit keinem Einwilligungserfordernis unterliegen. Werden aber mit spezifischen Nutzern verknüpfte Informationen (etwa durch individuelle IDs) verarbeitet, die eine Nachverfolgung der Nutzer ermöglichen, oder werden Nutzerprofile erstellt, müsste eine Einwilligung eingeholt werden.
Die Konsequenzen aus der Orientierungshilfe
Ein Internet voller Einwilligungen?
Um auf Nummer sicher zu gehen werden nun viele Webseitenbetreiber – die auf den Einsatz der Tracking-Tools sicherlich nicht verzichten werden – auf ihren Webseiten Cookie-Banner mit Einwilligungserklärungen schalten. Dass das bei den ohnehin schon von Banner geplagten Nutzern nicht auf Gegenliebe stoßen und sicherlich nicht zu mehr Datenschutzbewusstsein führen wird dürfte absehbar sein. Dies gilt vor allem dann, wenn man sich die Anforderungen der DSK anschaut, wie diese Einwilligung aussehen soll:
Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.
DSK, Orientierungshilfe für Anbieter von Telemedien, S. 9
Die kommenden Monate werden zeigen, welche Tracking-Tools ohne Einwilligung eingesetzt werden können und welche eine Einwilligung erfordern. Es ist aber damit zu rechnen, dass Cookie-Banner und deren Umfang nun zunehmen werden.
Prüfen Sie Ihre Webseite
Webseitenbetreiber sollten ihre Webseiten und die verwendeten Tracking-Tools dahingehend prüfen, ob eine Einwilligung erforderlich ist. Wenn das der Fall sein sollte müssen Einwilligungserklärungen in die Webseite eingearbeitet werden – vor eine Einwilligung des Nutzers darf Tracking dann nicht mehr stattfinden. Prüfen Sie vor allem auch, ob in den Datenschutzinformationen Ihrer Webseite die Zwecke und Rechtsgrundlagen korrekt beschrieben sind.